Este documento describe los pasos para implementar un sistema básico de seguridad en una red LAN, incluyendo consideraciones de hardware, software e instalación. Explica los componentes clave de una red LAN como servidores, estaciones de trabajo, tarjetas de red y cableado. También cubre temas como topologías de red, problemas comunes y soluciones, e instalación y mantenimiento de la red.
Un completo analisis para crear un sistema de seguridad en redes LAN
1. PASO A PASO
UN SISTEMA DE SEGURIDAD EN UNA RED LAN
INTRODUCCIÓN……………………………………………………………………..2
LA SEGURIDAD……………………………………………………………………...3
HARDWARE…………………………………………………………………….…….4
PROBLEMAS FRECUENTES………………………………………………….……..5
INSTALACIÓN………………………………………………………………………..6
EQUIPOS……………………………………………………………….………7
CABLEADO………………………………………………………………....…7
MANTENIMIENTO……………………………………………………….……………8
COMPONENTES………………………………………………………………….……9
LOS SERVIDORES……………………………………………………….…….9
ESTACIONES DE TRABAJO DE RED……………………………….…….…9
ESTACIONES DE TRABAJO GRÁFICO……………………………….…..…9
TARJETAS DE INTERFACE O ADAPTADORES DE RED……………...…..9
CABLEADO……………………………………………………………………10
RACK………………………………………………………………………..…11
TOPOLOGIAS DE RED…………………………………………………………….…12
SOFTWARE……………………………………………………………………………13
PROBLEMAS FRECUANTES…………………………………………………..……14
POSIBLES SOLUCIONES………………………………………………………….…15
2. INTRODUCCIÓN
Un sistema de seguridad básico para redes LAN es una agrupación propia de un
conjunto de pautas, consejos, indicaciones, herramientas e información para crear una
red LAN sólida y duradera, además de facilitar su mantenimiento y disminuir su costo
directo y a largo plazo. Educar en conceptos básicos a los usuarios de las redes, los
cuales aumentan en la actualidad, significa la base para la seguridad en las redes de
información que manejan el mundo.
Ante la problemática de la inseguridad en las redes LAN, un factor infalible por
infinidad de razones, el investigador presenta a continuación una recopilación de pautas
para la seguridad en redes de computadores que conforman un sistema básico para la
instalación y mantenimiento de una red LAN, ya sea por parte de un técnico o de una
persona cualquiera que este involucrada con el manejo de la red.
Se pueden encontrar infinidad de manuales para el solucionamiento y la prevención de
problemas en las redes LAN pero es claro que no todas las personas pueden acceder a
ellos y mucho menos entenderlos, las personas necesitan algo que parta de lo básico y
que evite las contantes y caras inversiones en una red LAN.
2
3. LA SEGURIDAD
La seguridad es un sistema que cumple una serie de características:
• Comportarse de igual manera siempre
• Los datos, instrucciones y espacio de memoria de un programa no deben
interferir ni ser interferidos por otros.
• Los datos y las acciones de un usuario no deben ser visibles o modificables por
otros, y no deben tener efecto para otros.
• El sistema debe poseer los mecanismos necesarios para asegurarse que un
usuario es realmente quien dice ser.
• El administrador del sistema, así como cada usuario, deben poder controlar
regularmente los permisos de acceso a su información, es decir a los recursos.
• El sistema debe asegurarse de que los usuarios no se brinquen estas
restricciones.
• El sistema debe ser capaz de registrar, así como de notificar al administrador (y
opcionalmente a los usuarios), de cualquier anormalidad.
Alcanzar un nivel completo de seguridad es algo imposible, por el simple error humano
que lo precede; entre otras razones: la complejidad de los programas, la constante
interacción que se da en la red LAN y nuevas clases de errores o amenazas. Aun así un
sistema de fácil acceso para todos puede significar la diferencia.
3
4. HARDWARE
Un sistema de seguridad para redes LAN debe empezar con lo físico, desde la
instalación hasta el mantenimiento se requiere examinar cada uno de los problemas más
comunes y los dispositivos que se ven afectados (Tarjetas de red, routers, switch, etc.)
4
5. PROBLEMAS MÁS FRECUENTES
• Insuciente control de acceso al terreno o el lugar
• Cableado mal instalado
Cableado no entubado
Puntos de red en lugares impensables
• Red Inalámbrica no cifrada o demasiado débil
• Facilidad de conexión sin trámites
• Mal manejo de la red
En ocasiones en una red LAN nos encontraremos con problemas para conectar unos
ordenadores con otros, conectar a Internet o acceder al servidor de datos. No sería lo
más adecuado ponernos a realizar cambios sin antes haber hecho unas mínimas
comprobaciones, que nos permitan evaluar el problema, y seguramente nos ahorren
tiempo en nuestras reparaciones.
En este curso podrás diagnosticar los problemas de red que te aparezcan en tu ordenador
utilizando las herramientas y software incluidos en los ordenadores.
El procedimiento es el siguiente:
• Comprobar.
• Hacer un diagnostico a partir de las pruebas.
• Hacer las modificaciones necesarias.
• Reestablecer el funcionamiento.
5
6. INSTALACIÓN
Hay que tener en cuenta una red LAN como parte interior del sistema de seguridad, que
en parte la protege de lo exterior, que son las redes universales; esto mediante medidas
de seguridad, como una de las patas o tarjetas de red del firewall, un router con ACL's,
un proxy con ACL's, etc.
En este contexto se debe tener en cuenta lo siguiente:
• Cada ordenador que se conecta a la red debe disponer de una tarjeta Ethernet.
Esta tarjeta puede ser interna (tipo PCI), externa (USB) o para portátil
(PCMCIA), aunque los ordenadores portátiles suelen incorporar la tarjeta de red
desde hace unos años. También la mayoría de los ordenadores de sobremesa
incorporan ya de serie la tarjeta de red Ethernet.
• En ocasiones la tarjeta interna puede estropearse, en algunos casos podrá
sustituirse, en otros deberá deshabilitarse e instalar una tarjeta adicional.
• Si sólo son dos equipos, bastará con poner un cable RJ-45 cruzado conectando
los dos ordenadores.
• Si hay entre tres y quince equipos, necesitará un hub o concentrador desde
donde sale un cable RJ-45 a cada ordenador. Cada vez que un equipo transmite
información, lo envía al hub y éste la reenvía a su vez a todos los equipos
conectados a este.
• Si dispone de más de quince equipos, es recomendable actuar en función de las
necesidades, diseñar la red como primer paso, con todos los dispositivos.
Además será importante definir cómo se comparten los directorios, dando
distintos niveles de acceso a los usuarios según sus funciones, departamentos,
etc. También se definirán las políticas de seguridad, incluyendo las copias de
respaldo, para recuperar los datos en caso de borrado accidental, ataque de virus
y el mantenimiento y las políticas para el buen uso de la red LAN.
Por ejemplo: una red típica, con ocho o más ordenadores, dispondrá también de
• Un ordenador servidor (de ficheros, de bases de datos, de aplicaciones, de
comunicaciones).
• Una o más impresoras en red, una impresora puede llevar el adaptador de red
incorporado, o puede añadirse uno externo, como el HP JetDirect.
• Un enrutador (router), para conectarse a internet, generalmente con alguna
protección (de tipo cortafuegos o firewall).
6
7. EQUIPOS
Actualmente están surgiendo equipos que reúnen varias funcionalidades en un sólo
dispositivo, con el consiguiente ahorro en costes, espacio y complejidad. Así, la
mayoría de los router ADSL ya incluyen varios puertos Ethernet (red local), y algunos
ofrecen ya un firewall y un servidor de impresoras integrado, pero atención, la
configuración de fábrica no siempre es la más adecuada desde el punto de vista de la
seguridad.
• También empiezan a ser habituales los 'discos de red', también conocidos por su
nombre en inglés, NAS - Network Attached Storage-, un dispositivo que se
conecta a la red local y ofrece espacio en disco, generalmente, también incluye
un servidor de impresoras.
CABLEADO
• Para conectar los equipos hace falta cablear las instalaciones o instalar una red
inalámbrica (WiFi). Las redes inalámbricas plantean problemas de mayor
vulnerabilidad disminución de la seguridad, al estar expuestas a conexiones
ajenas que, en principio, no podemos controlar.
• Se denomina cableado estructurado al que utiliza un par de cables de tipo datos
para conectar cada puesto de trabajo con un panel distribuidor, donde se
conectan a los concentradores (los que se usan para datos) o a la centralita (los
de voz).
• El cableado de nivel 5 garantiza el funcionamiento correcto a 100 Mbps.
• El coste del cableado es muy variable, depende de la distribución de la oficina,
distancias, paredes, canaletas, existencia de falso suelo, etc. Habitualmente se
montan unas cajas que disponen de tomas eléctricas de dos circuitos separados
(informática y usos varios), y 2 rosetas (voz y datos).
• Al utilizar cableado eléctrico en dos circuitos separados se puede sacar mayor
partido de sistemas de alimentación interrumpida (S.A.I. o U.P.S.). En este caso
conviene instalar en el circuito de informática sólo ordenadores y monitores
(incluyendo servidores y electrónica de red)
• El consumo de las impresoras en este circuito es muy elevado y normalmente la
interrupción de una impresión puede ser constante.
• Una vez realizado el cableado, es costoso ampliarlo, sobre todo si se han hecho
rozas o canaletas. Por este motivo conviene planificar las posibles ampliaciones
con antelación. No siempre se deben a nuevos puestos de trabajo, a veces es para
incorporar nuevos dispositivos, como un servidor de impresión.
• Dejando por ejemplo 3 conexiones para dos puntos.
• Mantener un inventario u otro sistema de vigilancia constante
7
8. MANTENIMIENTO
El mantenimiento es sin duda la herramienta que culmina un sistema de seguridad con
eficacia y precisión, a nivel de hardware este mantenimiento se puede dar de dos
maneras:
Mantenimiento preventivo y correctivo de redes:
El óptimo desempeño del transito de información en la red LAN. Es muy importante
por esta razón es necesario mantener en perfectas condiciones los recursos y
componentes de la red, monitorización constante de servidores y equipos, entre las
actividades de Mantenimiento y Evaluación, tenemos:
• Levantamiento de información de infraestructura física (cableado) y lógica
(Protocolos y Normas).
• Ampliación y Chequeo de los puntos de Red sobre par Trenzado.
• Limpieza de conexiones de Fibra.
• Cambio de Plugs en cables dañados.
• Verificación y Corrección de IP o según la plataforma utilizada.
• Verificación del equipo sobre la Red LAN.
• Rendimiento.
• Asesoría o Recomendaciones para Aprovechar su infraestructura.
• Suministro de materiales y costos previos a solicitar mayor información.
• Identificación y análisis de problemas.
• Diagnóstico de redes.
• Niveles y tipo de tráfico.
• Documentación de la red.
• Planificación de crecimiento.
Mantenimiento ético y humano de redes:
El investigador, en su experiencia de campo logró identificar un importante factor en el
cual hizo énfasis y base del proyecto.
El mantenimiento de las redes LAN se ve afectado directamente por los usuarios que
operan en ella, la incompetencia, la falta de solidaridad, recompromiso, de sentido de
pertenecía, la falta de educación y de ética; son factores muy importantes a la hora de
hablar de sistemas de seguridad y mantenimiento de redes.
El uso incorrecto de la red, el daño directo de los componentes de esta, el robo, el
deterioro a largo y corto plazo; son consecuencias directas de la actitud y aptitud de los
usuarios y afecta directamente el estado de la red LAN.
Es de vital importancia crear e implementar sistemas de control y administración como:
• Inventarios
• Registros de uso
8
9. COMPONENTES
A continuación vamos a definir una serie de dispositivos (Hardware) que constituyen
componentes de una Red LAN
Dentro del Hardware Entre los componentes que se tienen para la implementación de
una red LAN tenemos:
LOS SERVIDORES
Los definimos como Equipos de Procesamiento, de capacidad multiusuario, con
memoria compartida, que ofrecen servicios apropiados de cómputo, conectividad y
acceso a Base de Datos. Este concepto nos plantea que existen varios tipos de
Servidores y que éstos, se clasifican por el tipo de servicio que proveen, como son:
• Servidores de Aplicaciones. Aquellos que proveen acceso a las aplicaciones que
procesan datos.
• Servidores de Datos. Proveen acceso a los datos, textos, voz, imagen y gráficos.
• Servidor de Comunicaciones. Son aquellos que proveen acceso a servicios de
comunicación externos.
• Servidores de Impresión. Aquellos que proveen acceso a equipo de impresoras.
ESTACIONES DE TRABAJO DE RED
Son aquellas estaciones de red que se conectan a la Red Institucional, llevan adelante
tareas dentro del proceso cooperativo de la institución, demanda y obtiene servicios de
procesamiento, de acceso a datos, impresiones y a quien envía determinada información
o tareas.
ESTACIONES DE TRABAJO GRÁFICO
Son estaciones de trabajo que llevan adelante tareas muy especializadas y demandan de
una configuración especial del equipo, por ejemplo: Sistemas Multimedia, Diseño
Asistido por Computadora, Sistemas de Información Geográfica. Muchas veces estos
equipos operan dentro de una red Informática y constituyen terminales de trabajo en el
marco de la red. En la actualidad, ya se dispone de Sistemas de Información Multimedia
y de Sistemas de Gestión de Bases de Datos Gráficas y Multimedia, que permiten el
establecimiento de Estaciones Gráficas en Red.
TARJETAS DE INTERFACE O ADAPTADORES DE RED
Es un dispositivo digital (a modo de tarjeta o pastilla), que convierte el flujo serial de
alto poder de datos del cable de la red a un flujo de datos paralelos. No son los únicos
servicios, pero sí, los más conocidos, pueden y deben existir otros.
9
10. CABLEADO
El Cableado es el medio físico por el que transcurren las señales digitales. Está
compuesto por varios elementos, entre los que tenemos:
- El Cable
- Los Conectores
- Los Concentradores
- Los Racks
- Los Swicths
- Los Routers
- Bridges
- Gateways
• El Cable
Se define como el conducto por el cual se transmite las señales eléctricas o luminosas,
pueden ser de cobre (las más comunes) o fibra óptica (para trasmitir señales luminosas).
• Conectores
Son dispositivos físicos de empalme entre cables, (para el uso de redes de tipo Bus), el
cable y la tarjeta o adaptador de red, el cable y los concentradores, el Swiching, Routers
o Brigdes, son de diversos tipos siendo los más comunes los BNC, RJ-45 y AUI.
Como recomendaciones: Adaptador BNC T
Adaptador recto para BNC
CARGA 50 ohmnios
Conector RJ 11
Conector RJ 12
Conector RJ 45
10
11. • Concentradores
Los concentradores o hubs (centrales de cableado), se conectan a grupos dentro de los
nodos de redes, aislando cada nodo de cualquier problema. Los Grupos varían según el
concentrador, pudiendo ser de 8, 12, 16, 32 puertos del tipo RJ 45, más una salida AUI
y BNC. Cada uno de estos concentradores se encadenan a otros en la red, agregando
capacidad hub por hub.
Como recomendaciones:
3COM OFFICE CONNECT 8 RJ45
3COM OFFICE CONNECT 8 RJ45 + 1BNC
3COM SUPERSTACK II 12 RJ45 a 10 Mbps
3COM SUPERSTACK II 24 RJ45 a 10 Mbps
Modulo de gestión SNMP para Superstack II
3COM SUPERSTACK II 12 RJ45 a 100 Mbps
3COM SUPERSTACK II Switch 1000 12 RJ45-10
3COM SUPERSTACK II Switch 1000 24 RJ45-10
3COM SUPERSTACK II Port Switch Hub 40 12sal
3COM SUPERSTACK II Port Switch Hub 40 24sal
GENIUS GH4080 8 UTP 10 base T
GENIUS GH4160 16 UTP 10 base T
GENIUS GH4160/R 16 UTP RACK 10 base T
GENIUS GF4080/R 8 UTP 100 base - TX RACK
GENIUS GF4120/R 12 UTP 100 base - TX RACK
KTI KH5M 10 base T 5 STP
KTI KH5MB 10 base T 4 STP + 1 BNC
KTI KH10M 10 base T 8 STP + 1 BNC + 1 AUI
KTI KH18M 10 base T 16 STP + 1 BNC + 1 AUI
KTI KF1008 100 base TX 8 puertos apilable
KTI KF1008 100 base TX 16 puertos apilable
KTI KR5M repetidor 2 BNC + 2 STP + 1 AUI
KTI KR10C repetidor 1 BNC+2 UTP+ 1ST(fibra óptica)
• RACK
Para su estructuración se implementa un Rack, que en realidad no es más que un
"Mueble", el cual permite agrupar en un determinado número de Concentradores o
Hubs. A este "mueble", se adiciona salidas para el cableado.
11
12. TOPOLOGIAS DE RED
La topología o forma lógica de una red se define como la forma de tender el cable a
estaciones de trabajo individuales; por muros, suelos y techos del edificio. Existe un
número de factores a considerar para determinar cual topología es la más apropiada para
una situación dada.
La topología en una red es la configuración adoptada por las estaciones de trabajo para
conectarse entre si, de ellas depende la seguridad en la red ya que conforman su
estructura básica.
A continuación encontramos los parámetros para fijar topologías según el terreno.
TOPOLOGÍA DE RED LONGITUD SEGMENTO
MÁXIMO
Ethernet de cable fino (BUS) 185 MST (607 pies)
Ethernet de par trenzado (Estrella/BUS) 100 Mts (607 pies)
Token Ring de par trenzado (Estrella/Anillo) 100 Mts (607 pies)
ARCNET Coaxial (Estrella) 609 Mts (2000 pies)
ARCNET Coaxial (BUS) 305 Mts (1000 pies)
ARCNET de par trenzado (Estrella) 122 Mts (400 pies)
ARCNET de par trenzado (BUS) 122 Mts (400 pies)
Es recomendable tener en cuenta los tres tipos de topologías de red más recomendados a
nivel de calidad y economía:
Red de Enlace Central: Se encuentra generalmente en los entornos de oficina o
campos, en los que las redes de los pisos de un edificio se interconectan sobre cables
centrales. Los Bridges y los Routers gestionan el tráfico entre segmentos de red
conectados. (Recomendada para LAN)
Red de Malla: Esta involucra o se efectúa a través de redes WAN, una red malla
contiene múltiples caminos, si un camino falla o está congestionado el tráfico, un
paquete puede utilizar un camino diferente hacia el destino. Los routers se utilizan para
interconectar las redes separadas.
Red de Estrella Jerárquica: Esta estructura de cableado se utiliza en la mayor parte de
las redes locales actuales, por medio de concentradores dispuestos en cascada para
formar una red jerárquica. (Recomendada para LAN)
SOFTWARE
12
13. Después de establecer las pautas físicas de un sistema de seguridad de redes,
conociendo su funcionamiento y sus componentes, se procede a la parte lógica y de
administración.
13
14. PROBLEMAS MÁS FRECUENTES
En sistemas operativos:
• Sistemas poco tolerantes a datos mal formados.
• Revisión no exhaustiva de posibles respuestas.
• Falta de una auditoria real y constante.
• APIs/ABIs cambiantes.
• Excesivo bagaje de compatibilidad.
En aplicaciones:
• Confianza ciega en los datos recibidos
Longitud de los datos, Tipo de los datos, Confianza en los datos originados
externamente.
• Uso de bibliotecas inestables.
• Uso de frameworks no comprendidos por el desarrollador
• Uso de protocolos de red obsoletos.
En usuarios
• Políticas de uso aceptable inexistentes, incompletas, no aplicables o carentes de
autoridad.
• Falta de conciencia.
• Capa 8 defectuosa.
• Errores de BIOS.
• Analogías como las contraseñas.
14
15. POSIBLES SOLUCIONES
Con respecto a los administradores:
• Pensar en los posibles futuros programadores y el mantenimiento del software.
• Revisar siempre todo: Valores de retorno, resultado de la creación de objetos,
tipos de datos, contenido valido, manejo de excepciones.
• Desconfiar especialmente de los datos provenientes del usuario: Es más
importante escribir un programa correctamente que clavarnos en detalles.
• La optimización prematura es la fuente de todos los males.
• Llevar a cabo un buen análisis previo a comenzar a escribir código
• Utilizar estructuras de datos comprensibles y acordes a nuestro problema
• Documentar conforme programamos
• Escribir pruebas conforme documentamos, basándonos en la documentación y
no en nuestro otro código.
• Buscando la comodidad y la facilidad en el lugar correcto: Usar un sistema
operativo bien diseñado y simple de administrar, aunque tenga que aprender a
utilizarlo.
• Caracterizar las verdaderas necesidades de los usuarios, saber decirles que no,
ayudarles a ajustar lo que buscan.
• Mi usuario no es malicioso por naturaleza aunque tal vez si profundamente
ignorante
Con respecto a los usuarios:
• No confiar en que nadie atacará nuestro sistema únicamente por ser casero.
• Recuerden a los virus, troyanos, gusanos y demás. Y a las hordas de script
kiddies
• Spambots y similares: No importan los recursos de cada sistema atacado;
importa la cantidad total de sistemas más sencillos.
• Estar en constante actualización del sistema.
• No restar importancia a la solidez general del sistema
• Enviar bug reports
15